On Tue, Apr 06, 2004 at 11:15:30AM +0200, pippo_2002@tin.it wrote:
> In particolare NON ho capito:
> "Per assicurarsi che le immagini non soltanto siano state scaricate correttamente,
> ma che siano effettivamente le immagini ufficiali, bisogna verificarne la
> firma GnuPG presente nel file MD5SUMS usando Debian GPG keyring."
> Sono andato su http://ftp.debian.org/debian/doc ma non so quale file prendere.....
> c'è 1 solo file che gli assomiglia: debian-keyring.tar.gz ma è grosso 7,30
E` il file giusto, contiene tutte le chiavi digitali degli sviluppatori
Debian; in particolare c'e` la chiave di chi ha firmato le immagini ISO.
In realta` se non possiedi una chiave tua e non puoi verificare la catena di
chiavi che ti porta allo sviluppatore... non e` che questo ti serva a
molto... A quel punto puoi scaricare solo la chiave di chi ha firmato con:
gpg --keyserver sks.keyserver.penguin.de --keyserver-option auto-key-retrieve --verify MD5SUM
E le prossime volte, se ti sei trovato bene, controllare che il firmatario
sia lo stesso.
Ciau,
M
--
Questo messaggio e` firmato digitalmente con GnuPG ( http://www.gnupg.org/ )
gpg --keyserver sks.keyserver.penguin.de --recv-key c1a000b0
Attachment:
signature.asc
Description: Digital signature